Universidad Abierta y a Distancia de México

División de Ciencias Exactas, Ingeniería y Tecnología

Ingeniería en Telemática

Administración de Redes

Unidad 2. Disponibilidad y confiabilidad

“Actividad 4. Asegurando la red”

Séptimo semestre

Roberto Nevado Torres

ES162004384

12 de agosto de 2019
 Introducción

Identificar las características de administración de la seguridad aplicables a un diseño de red propuesto por tu docente en línea, con el objeto de
aportar la mayor parte de ideas posibles a la realización de la actividad, con base en la información que te proporcione tu facilitador, utilizando
todos los conceptos que has aprendido en esta unidad y en todas las asignaturas anteriores y relacionadas a ésta.

Analizar los dispositivos de la siguiente figura, al igual que todos los requerimientos que dicte la actividad.

En la imagen, se supone que tanto los usuarios internos como externos pueden acceder a los servidores DMZ, pero no necesitan comunicarse. En
algunos casos, los servidores DMZ necesitan abrir algún tipo de conexión a un host interno. Al mismo tiempo, se supone que los clientes internos
pueden acceder a Internet sin restricciones. Un buen ejemplo es el de los servidores Web en la DMZ, que necesitan comunicarse con un servidor
de bases de datos ubicado en la red interna, y en el que los clientes internos pueden acceder a Internet. Por lo tanto, ¿cuáles serían las
características de administración de la seguridad aplicables al diseño?

Considera la lista de dispositivos:

• WAN
• Tecnología de enlace
• Router
• Switch
• Firewall
• Host
• VLAN
• Restricciones de comunicación entre VLAN
• Segmentos
• Puertos TCP

Considera las diferentes características de seguridad las cuales se pueden basar en:
• Elementos de red
• Tecnología de interconexión
• Protocolos
• Restricciones
• Políticas
• Escenarios
DESARROLLO

VLAN

VLAN.
Pueden ayudar a aumentar la seguridad de la red
Características:
• Crean una topología virtual independiente de la física
• Permiten agrupar a los usuarios en grupos de trabajo
flexibles
• Funcionan en los niveles 2 y 3 de OSI

Limita el tráfico de red, mejorando su rendimiento, proporciona

control de flujo del tráfico que debe pasar por el router
El administrador puede decidir qué tipo de tráfico se envía
o bloquea en los interfaces del router

Enlace WAN
En un enlace wan se requieren switches y routers
Intervienen hardware para el enlace como switches, Routers, tarjetasc NIC.
 Switch conmutador Router de seguridad, encaminador

Creación de las ACLs

Desde el modo de configuración global: (config)# El router de Cisco incluye un robusto firewall con
• 2 tipos de ACL: inspección de paquetes que conserva su información
− ACL estándar − ACL extendida de estado y un sistema detección de intrusiones

> ACL del 1 al 99 > ACL del 100 al 199

Incluye compatibilidad con VPN IPSec y MPLS con todas sus

funciones, basados en estándares para la conectividad de
sucursales y de acceso remoto.

Router with Firewall

Proporciona una confiabilidad, escalabilidad y conjunto de capacidades sin igual en la industria, o presentan una arquitectura de
seguridad híbrida innovadora -que incluye inspección de paquetes que conserva su información de estado y funciones VPN con IPSec
integrada
Responde a amenazas
Este tipo de seguridad ejecuta: Orígenes:
Interrupción Personas.
Intercepción y Amenazas lógicas
Modificación Físicas:
Catástrofes
Así como la opción de: Prevención, Detección y Recuperación.
Se encarga de inspeccionar los paquetes, así como también su procedencia y destino. Se aplican desde la capa de Red hasta la de
Aplicaciones.

Host

Vulnerabilidad en host
Control inadecuado en el router.

La filtración de información puede proporcionar al atacante la información del sistema operativo y de la aplicación, los usuarios,
grupos, servicios compartidos, información DNS, a través de transferencia de zona, y servicios en ejecución, tales como: SNMP,
finger, SMTP, telnet, ruser, sunrpc, netBIOS.

Nessus sistema Linux, escanea los puertos que el host tenga abiertos
De este modo se pueden localizar los puertos abiertos en el host.
Segmentos
Detección de los puertos y servicios que se ejecutan en los equipos que pertenecen a un rango de red específico.
Los equipos expuestos a internet, juegan el rol más crítico.
Se recomienda el uso del escáner de vulnerabilidades NeXpose

Puerto TCP
El puerto TCP se encuentra expuesto a:
Sniffer
Ataque de Fuerza Bruta
Ataque CGI
Buffer Oveflow
Denegación de Servicio (DoS)
Recogida de Información
Punto de Acceso
Posibilidad de sniffer.
Ejemplo de una ACLs estándar.
• Ejemplo (permite acceso a todos los hosts de las 3 redes especificadas):
Router(config)# access-list 1 permit 192.5.34.0 0.0.0.255
Router(config)# access-list 1 permit 128.88.0.0 0.0.255.255
Router(config)# access-list 1 permit 36.0.0.0 0.255.255.255
Nota: cualquier otro acceso está implícitamente denegado)
(access-list 1 deny any)
• Proporciona un nivel básico de seguridad de acceso a la red en función de distintos parámetros

Propuesta de diseño de la topología de red.

Primero debo hacer algunos análisis y valoraciones de una red.

1.- identificar lo que deseo proteger en mi red.
2.- analizar las posibles vulnerabilidades
3.- plantear el método para proteger mis recursos vulnerables.

Diseño de topología de la red.

El diseño de esta topología contempla los métodos para eliminar vulnerabilidades en una VLAN.

La implementación de las VLAN puede optimizar el tráfico en la red beneficiando a los usuarios separados por
grupos, gracias a este y así lograr una mejor administración de la red.

a). Crear VLAN por área funcional para reducir dominios de broadcast.
Las redes LAN Ethernet están sometidas a múltiples limitaciones fruto de utilizar un medio compartido
sometido a ruido y atenuaciones, y la existencia de condiciones operativas como la presencia potencial de
colisiones y una ventana de tiempo asociada (ventana de colisiones).
La forma de expandir una red LAN Ethernet sin afectar la performance de esta, es separando segmentos de
red. Hay 2 formas de segmentar la red.
 Dominio de
broadcast
Dominio de
Colisión

Dominio de
Colisión

1.-Dividir Dominios de Colisión. Es un segmento de red que comparte el ancho de banda disponible entre
múltiples dispositivos terminales; como consecuencia cuando dos o más dispositivos conectados al mismo
segmento intentan comunicarse entre sí es posible que se produzca una colisión. En este sentido es deseable
reducir el tamaño de los dominios de colisión, para lo cual se deben utilizar dispositivos que operan en la capa
2 o superiores del modelo OSI.

2.-Dividir Dominios de Broadcast. Se trata de una porción de red en la que, a pesar de que pudo haber sido
segmentada en capa 2 es aún una unidad a nivel de capa 3 por lo que un paquete de broadcast es transmitido
a todos los puertos conectados. Si bien los switches filtran la mayoría de las tramas según las direcciones MAC
de destino, no hacen lo mismo con las tramas de broadcast. Un conjunto de switches interconectados forma
un dominio de broadcast simple. Para dividir dominios de broadcast es necesario implementar VLANs o
dispositivos que operan en la capa 3 del modelo OSI, tales como switches multilayer o routers.

b) Segmentar la red de área local haciendo uso de VLANS por configuración de puertos.
Ataque de suplantación del switch.
Uno de los ataques comunes en VLANs suele ser el ataque de suplantación de switch y este se basa en que el
atacante conecta un cable en un puerto del switch, que este configurado de manera predeterminada como
dynamic desirable y en el extremo opuesto del cable simule un enlace troncal (802.1q) y de esta manera
poder acceder a todos los paquetes de las distintas VLANs. Es por ello que se recomienda que los puertos no
utilizados estén apagados con el comando shutdown y además tengan un modo acceso predefinido por el
usuario, que no sea dynamic desirable.

Para realizar este ataque sería tan fácil como ejecutar Yersinia, y enviar algunas tramas DTP al Switch y hacer
que este convierta el enlace en troncal.

c) VLAN privada (PVLAN)

Otra característica que se puede aplicar en un Switch Cisco son las VLANs privadas, de esta manera,
podríamos aislar ciertos host dentro de una misma VLAN. Funciona de la siguiente manera: En el switch se
asignan puertos protegidos, los cuales no podrán recibir datos de otros puertos protegidos, solamente de los
que están desprotegidos:

Puerto protegido -> Puerto protegido = No se envían datos

Puerto desprotegido -> Puerto protegido y viceversa = Se envían datos.
Los puertos protegidos se asignan manualmente desde la configuración de la interfaz con el comando:
S1(Config-if)# Switchport protected
De esta forma conseguimos designarlo como protegido aislándolo de los demás puertos protegidos.

d) Utilizar direccionamiento IPV4 con VLSM para agilizar el tráfico de la red.

Subredes en Ipv4
Cuando nos disponemos a crear una red es muy importante el direccionamiento IP a seleccionar, pues hay
que pensar en: la cantidad de hosts que tendrá la red, si es posible que se vayan a generar subredes, si es
posible que el tamaño de la red crezca con el pasar del tiempo y si ese direccionamiento será capaz de abarcar
y cubrir dicha expansión.
Es muy importante, para evitar posibles inconvenientes en el futuro, asignar correctamente una clase, bien si
será C (192.168.0.0/16) o bien si será una Clase B (172.16.0.0/12 – 172.31.0.0/12), ya que asignar una clase C
cuando deberíamos haber asignado una B, puede suponer un error grave en la gestión y administración de la
red.

Clase A Las subredes.

Topología de red mixta.
Hacemos el diseño de redes, subredes, VLSM, etc. que necesitemos. Para ello numeramos
las redes/subredes y construimos el cuadro que nos permite tener para cada red/subred:
dirección, máscara de subred, primer host, último host y broadcast.

Protocolos en la base de la transmisión en la topología mixta

Normalmente las redes corporativas combinan diferentes tecnologías y topologías. Es
muy usual encontrar redes cableadas a las que se puede acceder de forma inalámbrica.
Se diseña la parte cableada para los puestos de trabajo que se desarrollan en una
ubicación concreta mientras que se utilizan los accesos inalámbricos para permitir el
acceso a los equipos en movilidad.

En la red planeada se requiere del hardware para establecer la comunicación.

En el caso de la red extensa de internet se requieren más de tres topologías ya que la
interconexión es muy compleja en ocasiones se tienen que combinar muchas de las ya
existentes como anillo, bus o malla. A diferencia de una red en anillo, el bus es pasivo, no
se produce generación de señales en cada nodo.
Tipo de topología
Topología de árbol
Esta topología puede comenzar con la inserción del servicio de internet desde el
proveedor, pasando por el router, luego por un switch y estederiva a otro switch u otro
router o sencillamente a los hosts, el resultado de esto es una red con apariencia de árbol
porque desde el primer router que se tiene se ramifica la distribución de internet dando
lugar a la creación de nuevas redes o subredes tanto internas como externas.
Esta topología se toma como una variación entre la red de BUS y la red estrella.

Restricciones en la red mixta.

Para esta topología se puede requerir mucho cable, la medida de los segmentos va
determinada por el tipo de cable que es usado. Si llega a venirse abajo el segmento
principal, todo el segmento se cae. Su configuración puede ser algo complicada y puesto
que el medio de transmisión es compartido entre varios nodos, podrían producirse
interferencias.

Políticas en la red.
Sin una política de seguridad, la disponibilidad de su red puede verse comprometida. La
política comienza por evaluar el riesgo para la red y la creación de un equipo de respuesta.
La continuación de la política requiere la implementación de una práctica de
administración del cambio en la seguridad y supervisión de la red para detectar
violaciones de seguridad. Por último, el proceso de revisión del estudio modifica la política
existente y se adapta a las lecciones aprendidas.

Este documento se divide en tres áreas: preparación, prevención, y respuesta.

Observemos cada paso con mayor profundidad.

Preparación
Antes de implementar una política de seguridad, debe hacer lo siguiente:

Cree las declaraciones de política de uso.

1. Sistemas de bajo riesgo o datos que, de verse comprometidos (datos observados
por el personal no autorizado, datos corruptos, o datos perdidos.
2. Los sistemas de riesgo mediano o los datos que, si estuvo comprometido los datos
vistos por el personal no autorizado, los datos corrompidos, o los datos perdidos.

14
 3. Sistemas de Alto Riesgo o datos que, e verse comprometidos (datos observados
por el personal no autorizado, datos corruptos, o datos perdidos) causarían una
interrupción extrema en el negocio.
4. Asignar un nivel de riesgo a cada uno de los siguientes: dispositivos de núcleo de la
red, dispositivos de distribución de redes, dispositivos de acceso a redes,
dispositivos de supervisión de redes (monitores SNMP y sondeos RMON),
dispositivos de seguridad de la red (RADIUS y TACACS), sistemas del correo
electrónico, servidores de archivo de red, servidores de impresión de redes,
servidores de aplicación de redes (DN y DHCP), servidores de aplicación de datos
(Oracle u otras aplicaciones autónomas), equipos de escritorio, y otros dispositivos
(servidores de impresión y equipos de fax independientes de la red).

Los equipos de red tal como switches, routers, servidores DNS, y servidores DHCP
permiten acceso adicional a la red y, por lo tanto, son dispositivos de riesgo moderado o
alto. También es posible que la corrupción de este equipo cause el colapso de la red. Dicha
falla puede ser extremadamente perjudicial para el negocio.

Una vez asignado un nivel de riesgo, es necesario identificar los tipos de usuarios de ese
sistema. Los cinco tipos más comunes de usuarios son:
Usuarios internos de los administradores responsables de los recursos de red.
Usuarios internos privilegiados con necesidad de mayor acceso.
Usuarios internos de usuarios con acceso general.
Usuarios externos de socios con necesidad de acceder a algunos recursos.
Otros usuarios externos o clientes.
Realizar un análisis de riesgo.
Prevención.

La prevención se puede dividir en dos partes: cambios en la seguridad y supervisión de la

supervisión de su red.

Aprobación de Cambios de Seguridad

Los cambios de seguridad se definen como los cambios al equipo de red que tengan un
posible impacto en la seguridad general de la red. Su política de seguridad debe identificar
requisitos de configuración de seguridad específicos, en términos no técnicos. Es decir, en
lugar de definir un requisito como “Ninguna conexión al FTP de las fuentes externas se
permitirá a través del firewall”, defina el requisito como “Las conexiones externas no

15
deben extraer archivos de la red interna”. Deberá definir un conjunto único de requisitos
para su organización.

El equipo de seguridad debe revisar la lista de requisitos de lenguaje sencillo para

identificar la configuración de red o los problemas de diseño específicos que cumplan los
requisitos. Una vez que el equipo ha creado los cambios en las configuraciones de la red
requerida para implementar la política de seguridad, puede aplicarlos a cualquier cambio
de configuración futuro. Mientras que es posible que el equipo de seguridad revise todos
los cambios, este proceso permite que sólo se revisen solamente los cambios que
plantean un riesgo importante para autorizar el tratamiento especial.

 Se recomienda que el equipo de seguridad revise los siguientes tipos de cambios:

 Cualquier cambio en la configuración firewall.
 Cualquier cambio en las listas de control de acceso (ACL).
 Cualquier cambio en la configuración del Simple Network Management Protocol
(SNMP).
 Cualquier cambio o actualización en el software que difiera de la lista de nivel de
revisión de software aprobada.
 Establecer una estructura de equipo de seguridad.

Escenarios de la red mixta.

Los ordenadores que no están unidos a un switch o router se conectan de forma
inalámbrica. Por este motivo deben tener antenas. Si no la tuvieran sería necesario
añadir o cambiar el hardware.
Si tenemos elementos inalámbricos debemos tener los AP o routers inalámbricos
necesarios para conectarlos.
Añadir el hardware necesario. Observamos si hay algún elemento hardware que podamos
necesitar, en particular.

Para unir dos o más redes necesitamos un router.

Los diferentes elementos de una red se unirán mediante un switch.

Configurar los servidores DHCP.

Debemos configurar, típicamente en los routers, los servidores DHCP. Para esto es muy
importante considerar:

16
El servidor DHCP tiene que estar configurado en el interface que une la red a la que va a
servir.
La configuración en PT se hace desde el CLI. Para posicionarse en el sitio adecuado
podemos, desde el entorno gráfico, situarnos en "config/interfaceX/X/cli". En el CLI nos
debe salir el promot Router(config)#
Imprescindible utilizar los comandos siguientes:
ip dhcp pool nombre_de_pool (a partir de aqui sale el promt
Router(dhcp-config)#
network dirección_red/subred
default-router ip_de_router
dns-server ip_servidor_dns

Si queremos que el servidor DHCP no incluya ciertas direcciones IP debemos utilizar el

comando
ip dhcp excluded-address direccion:ip_comienzo direccion_ip_final

Activar configuración dinámica en aquellos elementos que la tengan. Hay que recorrer los
ordenadores con configuración dinámica y, en la configuración TCP/IP, poner que
obtengan una dirección automáticamente. En PT, esto se hace marcando el radio-button
DHCP.
Configurar el enrutamiento. Las redes adyacententes (que están a ambos lados de un
mismo router) se podrían comunicar si ese router fuera la puerta de enlace de los
ordenadores de las 2 redes.

17
Conclusiones

La seguridad de redes tiene una gran importancia en los sistemas informáticos ya que con
estas normas y políticas de seguridad casi podemos estar seguros para hacer
transacciones de cualquier clase, los usuarios actuales saben día a día nuevas formas de
burlar esta seguridad por lo que representan cierta amenaza a la seguridad para ello se
realizan nuevas normas de seguridad para proteger nuestra información.
Es necesario que la seguridad en redes sea bien utilizada para su mayor provecho y evitar
el mal uso de esta.

18
Referencias:

UNADM. Administración de Redes (2019). Unidad 2. Disponibilidad y

confiabilidad. Recuperado de:
https://unadmexico.blackboard.com/bbcswebdav/institution/DCEIT/2016_S2
_B1/TM/07/KADR/U2/Unidad%202.%20Disponibilidad%20y
%20confiabilidad.pdf

Stallings, W. (2004). Comunicaciones y Redes de Computadoras. (7a ed.)

Madrid, España: Prentice Hall.

Terán, D. (2010). Redes Convergentes. Diseño e implementación. (1ª ed.)

México: Alfaomega.

19